Mint.com アカウントをより良く保護するにはどうすればよいか

私たちはパラノイアやオンライン個人金融には馴染みがありますが、人気のある Web アプリミントまだ私たちを魅了した長期的には。セキュリティの専門家でブロガーの Jason Owens が、機密性の高い Mint アカウントに追加のセキュリティ層を追加する方法についてのヒントを提供しています。

1ヶ月ほど前に「」という記事を書きました。2010 年の Mint.com – 安全ですか?" 新しいユーザーとして、私はサイトを使用する際の実際のプライバシーとセキュリティの考慮事項を客観的に評価したいと思いました。そして、ペネトレーションテスターの観点から考えてみました。誰かのアカウントをハッキングしようとしている場合、どうすればよいでしょうか?ユーザーの情報を入手しますか？

注: 最初のセクションでは、Owens が Mint アカウントのハッキングを試みる可能性のあるさまざまな方法について説明します。使用する方法は、これまでの考察とは若干異なります。脆弱なパスワードがどれほど簡単にハッキングされるか。 Mint アカウントに追加の保護を追加するためのヒントだけを見たい場合は、クリックしてくださいここをクリックすると、そのセクションに直接スキップできます。

以下の内容は新しいものでも、まったく独創的なものでもありません。これらはよく使われる手法ですが、被害者にとっては初めてのことかもしれません。オンライン時のセキュリティについて日常的に考えているのであれば、これに陥る可能性は低いでしょう。ただし、以下のいくつかの脆弱性を知らないユーザーの場合、ハッキングが成功する可能性があります。

Mint.com アカウントが現在どのようにハッキングされる可能性があるかを説明するポイントは、a) 可能性について認識してもらい、b) 自分を守るために何ができるかを理解してもらうことです。

ブルートフォースは機能するかもしれないが…

パスワードをブルートフォースで強制入力するのは一方法ですが、少々素人的です。アカウントのロックアウトや失敗した試行の通知はありません。技術的には、有効なアカウントが何か (それは判断可能) を知っていれば、パスワードの辞書を使ってスクリプトを実行することができ、それが機能しない場合は、スクリプトが取得するまでブルートフォースで試行することができます。ユーザーが強力なパスワードを持っていない場合、または被害者がパスワードを変更する前に攻撃者がパスワードを推測できる場合、Mint.com がログイン試行をブロックしないと仮定すると (実際にそうなっているようです)、アカウントは危険にさらされることになります。

ブルートフォースによるアカウントのハッキングは、騒音が大きく、時間がかかり、基準によってはまったくエレガントではない可能性があります。ただし、テクニカルエンジニアリングとソーシャルエンジニアリングを組み合わせて、誰かに対して標的型攻撃を行うことは可能です。

より社会的なアプローチ

妥協点

WiFiを使用している被害者
被害者は Mint.com にログインしています
被害者は POP または IMAP (暗号化されていない) 経由で電子メールをチェック
攻撃者は被害者の画面の上部を見ることができます

この攻撃は、何らかの理由であなたが孤立していることを前提としています。それはランダムである可能性もあれば、退屈なスクリプトキディである可能性もあれば、標的型攻撃である可能性もあります。もしかしたら、あなたは学校の校長で生徒たちが泥を掘りたがっているかもしれません。あるいは、解雇されたばかりの誰かの上司、または家賃の分担金をもっと払うべきだと考えているルームメイトがいるかもしれません。

誰かが WiFi 経由で自分のアカウントにログインしている可能性があると想定するのは非現実的ではありません。被害者はコーヒーショップ、公共図書館、ファストフード店などにいる可能性があります。ここを「BreadPlace」と呼びましょう。 TheBreadPlace の接続は、WPA、WEP、または暗号化されていない可能性があります。 WEP は依然として使用されていますが、本質的には価値がありません。

また、被害者がブラウジングと同時に Thunderbird、Mail、Outlook、またはその他のクライアントで電子メールをチェックしている可能性も不合理ではありません。平均的なユーザーは、自分のアカウントにパスワードを使用しているため、メールは保護されていると考えるかもしれません。被害者は、電子メールトラフィックを暗号化またはトンネリングしない限り、ユーザー名とパスワードが平文でネットワーク上に送信されることに気づいていない可能性があります。一部の ISP はメールトラフィックを暗号化するオプションを提供せず、代わりに Web インターフェイスを使用してメールをチェックすることを推奨します。

被害者が Mint.com にログインすると、そのユーザー名が画面の上部に表示されます。攻撃者として、その情報を入手する方法はいくらでもあります。あなたの隣に座って、私が通り過ぎるのを肩越しに眺めたり、私が実際にあなたの写真を撮っているときに友達の写真を撮るふりをしたり、あるいは立ち止まって「ねえ、これについて聞いたことがある…」と言ったりします。

Mint.com には、電子メールアドレスを送信できるパスワードを忘れた場合の機能があります。その後、アカウントを新しいパスワードにリセットするためのリンクを電子メールで送信します。チャレンジ質問やセキュリティチェックはありません。 Mint.com からメールで送信されるリンクを使用するだけです。

あなたのメールを読むことができます。これができるのは、WEP トラフィックを簡単に解読したか、WiFi ホットスポットになりすましたからです。あなたは TheBreadPlace の無料 WiFi を使用していると思っていましたが、実際には最初に私のラップトップに行き、そこで私があなたの無線トラフィックを盗聴し、それからあなたが行くところならどこにでもそれを送信します。また、あなたは普通の古い電子メールを使用し、電子メール認証を平文で送信していたため、私はあなたのパスワードを知っており、あなたの電子メールアカウントにログインできます。

この時点で、攻撃者として必要なものはすべて揃っています。アカウントの電子メールアドレスを知っているので、自分でパスワードのリセットを送信できるため、被害者にパスワードのリセットを要求してもらう必要はありません。そこで、あなたの電子メールアカウントにログインし、パスワードを忘れた場合のリンクを送信し、電子メールで送信されたリセットリンクを取得して、電子メールを削除します。チャレンジ質問がないため、アカウントをリセットするためにすぐにアクセスできます。新しいパスワードを知っているパスワードに設定しました。次に、アカウントの電子メールアドレスを、すでに設定したランダムな電子メールアカウントに変更します。

攻撃者として、私はあなたの Mint.com アカウントを所有していますが、あなたは自分のアカウントやデータがどこに行ったのか全く分からないと思います。メールアドレスがアカウントに関連付けられていないため、アカウントまたはパスワードを回復できませんでした。せいぜい、Mint.com サポートにヘルプメールを送信して、アカウントに何が起こったのか、現在のメールアドレスを確認するためにデータを調査するよう依頼する程度です。しかし、私はすでにスクリーンショットを実行し、エクスポート、PDF、または Evernote アカウントにできる限りキャプチャしました。

スキナー校長、財布の中身がわかりました。最近、rubberlederhosen.com から購入しました…

現在、Mint.com アカウントには金融アカウントへの書き込みアクセス権がありません。アカウントがハッキングされることがなぜ重要なのでしょうか?気にしない場合、またはプライバシーに関する懸念がない場合は、問題ないかもしれません。ただし、アクセスできた場合に人々があなたについて何を知る可能性があるかを理解してください。アカウント侵害セクション詳細についてはリンク先の記事を参照してください。

Mint.com アカウントをブルートフォース攻撃から保護する方法

通常のメールアドレスを使用せず、Mint.com 専用のメールアドレスを設定してください (通知を受け取ることができるように、実際のアドレスに転送することもできます)
新しいメールアドレスは推測しにくいようにランダムに設定してください。
強力なパスワードを使用する
パスワードを変更してください
ログイン情報を次のようなパスワードデータベースに保存しますキーパスだから覚える必要はないよ